Kampanja zlonamerne programske opreme Noodlophile
Kibernetski kriminalci, ki stojijo za zlonamerno programsko opremo Noodlophile, izvajajo nenehno kampanjo, usmerjeno proti organizacijam v ZDA, Evropi, baltskih državah in azijsko-pacifiški regiji. Z združevanjem taktik lažnega predstavljanja z razvijajočimi se mehanizmi dostave si prizadevajo za uporabo zmogljivega orodja za krajo informacij, ki še naprej postaja vse bolj dovršeno.
Kazalo
Spear-phishing z drugačnim pridihom
Kampanja, ki je aktivna že več kot eno leto, se je preusmerila v e-poštna sporočila z lažnim predstavljanjem, prikrita kot obvestila o kršitvah avtorskih pravic. Ta e-poštna sporočila niso generična; napadalci jih prilagodijo z uporabo izvidniških podatkov, kot so ID-ji Facebook strani in podatki o lastništvu podjetij, da bi povečali verodostojnost.
Prejšnji valovi kampanje Noodlophile , odkriti maja 2025, so se zanašali na lažna orodja, ki jih poganja umetna inteligenca in so se promovirala prek kanalov družbenih medijev, kot je Facebook. Zdaj prehod na vabe, povezane z avtorskimi pravicami, označuje novo poglavje v njenem razvoju. Omeniti velja, da so bile podobne strategije že videne: novembra 2024 je obsežna phishing kampanja uporabila lažne trditve o kršitvah avtorskih pravic za širjenje virusa Rhadamanthys Stealer.
Anatomija napadalne verige
Trenutna operacija se začne z lažnimi e-poštnimi sporočili, ki izvirajo iz Gmaila in so zasnovana tako, da se izognejo sumu, hkrati pa vzbujajo nujnost glede domnevnih kršitev avtorskih pravic. V e-poštnem sporočilu povezava do Dropboxa dostavi datoteko ZIP ali MSI. Ko se ta namestitveni program izvede, namesti zlonamerno datoteko DLL naloži prek legitimnih binarnih datotek Haihaisoft PDF Reader. Preden se kradljiva programska oprema Noodlophile zažene, se uporabijo paketni skripti za ustvarjanje trajnosti s spreminjanjem vnosov v register sistema Windows.
Posebej izmikajoča tehnika vključuje opise skupin v Telegramu, ki delujejo kot »dead drop resolver« in žrtve usmerjajo k dejanskemu strežniku koristnega tovora, ki gostuje na paste.rs. Ta metoda otežuje odkrivanje in odstranjevanje, hkrati pa omogoča dinamično dostavo koristnega tovora.
Razvoj taktik izogibanja
Na podlagi prejšnjih kampanj, ki so uporabljale arhive, kodirane v Base64, in LOLBins, kot je certutil.exe, trenutna različica dodaja:
- Kanali za upravljanje in nadzor, ki temeljijo na telegramu
- Tehnike izvajanja v pomnilniku za izogibanje zaznavanju na disku
Te inovacije kažejo na stalen trend k bolj sofisticiranim mehanizmom izogibanja, zaradi česar so tradicionalne obrambe manj učinkovite.
Zmogljivosti Noodlophila
Noodlophile ni preprost kradljiva programska oprema, temveč nenehno razvijajoči se nabor orodij, zasnovan za krajo širokega nabora občutljivih podatkov. Trenutne analize kažejo, da lahko:
- Izvleči podatke brskalnika in sistemske informacije.
- Zberite podatke o družbenih omrežjih, povezanih s podjetjem, zlasti s Facebooka.
Tekoča analiza kode razkriva, da razvijalci delajo na razširitvi funkcionalnosti. Načrtovane funkcije vključujejo zajemanje posnetkov zaslona, beleženje keyloggerjev, izbruh datotek, spremljanje procesov, izvidovanje omrežja, šifriranje datotek in podrobno izvlečenje zgodovine brskalnika.
Širjenje podjetniškega tveganja
Poudarek kampanje na podatkih brskalnikov in družbenih medijev poudarja premišljeno strategijo: ogroziti podjetja z močno spletno prisotnostjo. Z novimi funkcijami, ki so v razvoju, bi se Noodlophile lahko razvil v bolj vsestransko in nevarno grožnjo, ki bi združevala vohunjenje, krajo poverilnic in v prihodnosti morda celo zmogljivosti, podobne izsiljevalski programski opremi.
